Wyłączanie uwierzytelniania klucza dostępu dla wystąpienia usługi aplikacja systemu Azure Configuration
Każde żądanie do zasobu konfiguracji aplikacja systemu Azure musi być uwierzytelnione. Domyślnie żądania mogą być uwierzytelniane przy użyciu poświadczeń firmy Microsoft Entra lub przy użyciu klucza dostępu. Spośród tych dwóch typów schematów uwierzytelniania identyfikator Entra firmy Microsoft zapewnia lepsze zabezpieczenia i łatwość korzystania z kluczy dostępu i jest zalecana przez firmę Microsoft. Aby wymagać od klientów używania identyfikatora Entra firmy Microsoft do uwierzytelniania żądań, możesz wyłączyć użycie kluczy dostępu dla zasobu aplikacja systemu Azure Configuration.
Po wyłączeniu uwierzytelniania klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure wszystkie istniejące klucze dostępu dla tego zasobu zostaną usunięte. Wszelkie kolejne żądania do zasobu korzystające z poprzednio istniejących kluczy dostępu zostaną odrzucone. Pomyślnie powiedzie się tylko żądania uwierzytelnione przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat korzystania z identyfikatora Entra firmy Microsoft, zobacz Autoryzowanie dostępu do konfiguracji aplikacja systemu Azure przy użyciu identyfikatora Entra firmy Microsoft.
Wyłączanie uwierzytelniania za pomocą klucza dostępu
Wyłączenie uwierzytelniania klucza dostępu spowoduje usunięcie wszystkich kluczy dostępu. Jeśli jakiekolwiek uruchomione aplikacje używają kluczy dostępu do uwierzytelniania, rozpocznie się niepowodzenie po wyłączeniu uwierzytelniania klucza dostępu. Ponowne włączenie uwierzytelniania za pomocą klucza dostępu spowoduje wygenerowanie nowego zestawu kluczy dostępu, a wszystkie aplikacje próbujące użyć starych kluczy dostępu nadal kończą się niepowodzeniem.
Ostrzeżenie
Jeśli klienci uzyskują obecnie dostęp do danych w zasobie aplikacja systemu Azure Configuration przy użyciu kluczy dostępu, firma Microsoft zaleca przeprowadzenie migracji tych klientów do identyfikatora Entra firmy Microsoft przed wyłączeniem uwierzytelniania klucza dostępu.
Aby nie zezwalać na uwierzytelnianie klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Ustaw przełącznik Włącz klucze dostępu na wartość Wyłączone.
Sprawdź, czy uwierzytelnianie klucza dostępu jest wyłączone
Aby sprawdzić, czy uwierzytelnianie klucza dostępu nie jest już dozwolone, można wysłać żądanie, aby wyświetlić listę kluczy dostępu dla zasobu aplikacja systemu Azure Configuration. Jeśli uwierzytelnianie klucza dostępu jest wyłączone, nie będzie żadnych kluczy dostępu, a operacja listy zwróci pustą listę.
Aby sprawdzić, czy uwierzytelnianie klucza dostępu jest wyłączone dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Sprawdź, czy nie są wyświetlane żadne klucze dostępu, a opcja Włącz klucze dostępu jest przełączana na wartość Wyłączone.
Uprawnienia do zezwalania na uwierzytelnianie za pomocą klucza dostępu lub ich niedozwolonego
Aby zmodyfikować stan uwierzytelniania klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure, użytkownik musi mieć uprawnienia do tworzenia zasobów konfiguracji aplikacja systemu Azure i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.AppConfiguration/configurationStores/write lub Microsoft.AppConfiguration/configurationStores/* . Wbudowane role z tą akcją obejmują:
- Rola właściciela w usłudze Azure Resource Manager
- Rola współautora w usłudze Azure Resource Manager
Te role nie zapewniają dostępu do danych w zasobie konfiguracji aplikacja systemu Azure za pośrednictwem identyfikatora Entra firmy Microsoft. Obejmują one jednak uprawnienie Microsoft.AppConfiguration/configurationStores/listKeys/action , które przyznaje dostęp do kluczy dostępu zasobu. Za pomocą tego uprawnienia użytkownik może użyć kluczy dostępu, aby uzyskać dostęp do wszystkich danych w zasobie.
Przypisania ról muszą być ograniczone do poziomu zasobu aplikacja systemu Azure Configuration lub nowszego, aby umożliwić użytkownikowi zezwolenie na uwierzytelnianie klucza dostępu dla zasobu lub uniemożliwienie mu dostępu. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.
Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych użytkowników, którzy wymagają możliwości utworzenia zasobu usługi App Configuration lub zaktualizowania jego właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.
Uwaga
Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć zasoby usługi App Configuration i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Uwaga
Gdy uwierzytelnianie klucza dostępu jest wyłączone, a tryb uwierzytelniania usługi ARM magazynu app Configuration jest lokalny, możliwość odczytu/zapisu wartości kluczy w szablonie usługi ARM również zostanie wyłączona. Dzieje się tak, ponieważ dostęp do zasobu Microsoft.AppConfiguration/configurationStores/keyValues używanego w szablonach usługi ARM wymaga uwierzytelniania klucza dostępu za pomocą lokalnego trybu uwierzytelniania usługi ARM. Zaleca się używanie trybu uwierzytelniania z przekazywaniem usługi ARM. Aby uzyskać więcej informacji, zobacz Omówienie wdrażania.